TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI
NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO
CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
(PKI) ĐỘC LẬP

Hà Nội - Năm 2016


TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

NGUYỄN THU PHƯƠNG

NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO
CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
(PKI) ĐỘC LẬP
Chuyên ngành

: Công nghệ Thông tin

Mã ngành

: D480201

NGƯỜI HƯỚNG DẪN: TS. HÀ MẠNH ĐÀO

Hà Nội - Năm 2016


2.1.1 Chứng thực chéo ngang hàng .......................................................................................... 18
2.1.2. Mô hình CA cầu nối ....................................................................................................... 21
2.1.3. Mô hình danh sách tin cậy web ...................................................................................... 23
2.2. Hiện trạng chứng thực chéo trên thế giới .............................................................................. 24


2.3. Các vấn đề cần giải quyết khi thực hiện chứng thực chéo .................................................... 28
2.4. Hiện trạng PKI tại Việt nam và nhu cầu chứng thực chéo .................................................... 28
CHƯƠNG 3: TRIỂN KHAI THỬ NGHIỆM .....................................................................................32
3.1. Triển khai hệ thống sử dụng EJBCA ..................................................................................... 32
3.1.1. Giới thiệu về EJBCA ...................................................................................................... 32
3.1.2 Mô hình của hệ thống PKI EJBCA ................................................................................. 32
3.1.3 Một số ưu nhược điểm của EJBCA ................................................................................. 34
3.1.4. Lý do chọn EJBCA ........................................................................................................ 34
3.2. Mô hình triển khai .............................................................................................................. 36
3.2.1 Yêu cầu ............................................................................................................................ 36
3.2.3Cấu hình và cài đặt ........................................................................................................... 38
3.3. Triển khai hệ thống sử dụng MSCA...................................................................................... 38
3.3.1. Các mô hình ................................................................................................................... 38
3.3.2. Chuẩn bị trước khi cài đặt MicrosoftCA ........................................................................ 39
3.3.3. Các yêu cầu về kỹ thuật đối với MicrosoftCA ............................................................... 40
3.3.4. Triển khai hệ thống......................................................................................................... 41
3.3.5. Cấu hình và cài đặt ......................................................................................................... 42
3.4. Triển khai chứng thực chéo giữa hai hệ thống EJBCA và MicrosoftCA .............................. 42
3.4.1. Kết quả và hình ảnh demo sau khi cài đặt ...................................................................... 45
3.4.2. Áp dụng chứng thực chéo trên thực tế. ......................................................................... 66
KẾT LUẬN .............................................................................................................................................68
TÀI LIỆU THAM KHẢO .......................................................................................................................69
PHỤ LỤC A ..............................................................................................................................................1
PHỤ LỤC B ..............................................................................................................................................6

trong suốt thời gian nghiên cứu và thực hiện đề tài này.
Xin cảm ơn các anh chị và bạn bè cùng khóa đã ủng hộ, giúp đỡ và động viên
em tiến bộ trong suốt những năm học qua. Xin cảm ơn gia đình và bè bạn, những
người luôn khuyến khích và giúp đỡ em trong mọi hoàn cảnh khó khăn. Mặc dù em
đã cố gắng hoàn thành đồ án tốt nghiệp trong phạm vi và khả năng cho phép xong
cũng không tránh khỏi những thiếu sót. Em kính mong nhận được sự cảm thông và
tận tình chỉ bảo của quý thầy cô và các bạn.
Em xin chân thành cảm ơn!


DANH MỤC BẢNG
Bảng 3.1: Bảng so sánh EJBCA và OpenCA ........................................................ 35
DANH MỤC HÌNH
Hình 1.1: Các thành phần cơ bản của PKI................................................................ 3
Hình 1.2: Mô hình CA đơn cấp ................................................................................ 6
Hình 1.3: Mô hình CA phân cấp .............................................................................. 6
Hình 1.4: Mô hình lai .............................................................................................. 7
Hình 1.5: Chứng thư số X.509 phiên bản 1 .............................................................. 8
Hình 1.6: Chứng thư số X.509 phiên bản 2 .............................................................. 9
Hình 1.7: Chứng thư số X.509 phiên bản 3 ............................................................ 11
Hình 1.8: Sơ đồ ký và kiểm tra chữ ký số .............................................................. 15
Hình 2. 1: Mô hình chứng thực chéo ngang hàng ................................................... 19
Hình 2. 2: Những dạng chứng thực chéo ngang hàng khác .................................... 20
Hình 2. 3: Chứng thực chéo sử dụng CA cầu nối ................................................... 21
Hình 2. 4: Mô hình CA cầu nối với CA cầu nối là miền tin cậy.............................. 22
Hình 2. 5: Chứng thực chéo sử dụng danh sách tin cậy web .................................. 24
Hình 2. 6: Mô hình hệ thống chứng thực chéo của Mỹ .......................................... 25
Hình 2. 7: Mô hình hệ thống chứng thực chéo của Nhật Bản ................................. 26
Hình 2. 8: Mô Hình chứng chéo của Đài Loan ....................................................... 26
Hình 2. 9: Mô hình chứng thực chéo của Hàn Quốc .............................................. 27

Hình 3.28 Cài đặt Sub VNPT ................................................................................ 54
Hình 3.29 Cài đặt sub VNPT thành công ............................................................... 55
Hình 3.30 Cài đặt client ......................................................................................... 55
Hình 3.31 Cài đặt người dùng ................................................................................ 56
Hình 3.32 Cài đặt người dùng thành công.............................................................. 56
Hình 3.33 RootCA miền PKICP ............................................................................ 57
Hình 3.34 Cài đặt PKICP-CA ................................................................................ 57
Hình 3.35 Cài đặt PKICP-CA ................................................................................ 58
Hình 3.36 Cài đặt PKICP-CA thành công .............................................................. 58
Hình 3.37 Kí lên word ........................................................................................... 59
Hình 3.38 Điền thông tin người kí ......................................................................... 59
Hình 3.39 Tạo khung chữ kí .................................................................................. 60


Hình 3.40 Thực hiện kí .......................................................................................... 60
Hình 3.41 Chọn hình chữ kí riêng .......................................................................... 61
Hình 3.42 Chọn hình chữ kí riêng .......................................................................... 61
Hình 3.43 Chọn chứng thư số ................................................................................ 62
Hình 3.44 Chọn chứng thư số ............................................................................... 62
Hình 3.45 Kí thành công ........................................................................................ 63
Hình 3.46 Thông tin cơ bản trên chứng thư số của người kí ................................... 63
Hình 3.47 Thông tin cơ bản trên chứng thư số của người kí ................................... 64
Hình 3.48 View thông tin cơ bản của root CA,Sub CA,Client ............................... 64
Hình 3.49 View thông tin VNPT(subCA)miền PKICC .......................................... 65
Hình 3.50 Xóa cross cert (VNPT cacert)trong Console Root ................................ 65
Hình 3.51 Xóa cross cert (VNPT cacert)trong Console Root ................................. 66
Hình 3.52 Văn bản chữ kí không hợp lệ................................................................. 66
Hình 3.53 Mô hình kê khai thuế qua mạng ............................................................ 67




Hệ thống khóa công khai
công cộng

PKICP

Hệ thống khóa công khai
chính phủ